CloudWatch RUM でのリソースベースのポリシーの使用
CloudWatch RUM アプリモニターにリソースポリシーをアタッチできます。既定では、アプリケーションモニターにはリソースポリシーがアタッチされていません。CloudWatch RUM リソースベースのポリシーは、クロスアカウントアクセスをサポートしていません。
AWS リソースのポリシーの詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。
リソースポリシーと ID ポリシーの評価方法の詳細については、「ポリシーの評価論理」を参照してください。
IAM ポリシーの文法の詳細については、「IAM JSON ポリシー要素のリファレンス」を参照してください。
サポートされているアクション
アプリケーションモニターのリソースベースのポリシーは、rum:PutRumEvents アクションをサポートします。
CloudWatch RUM で 使用するサンプルポリシー
次の例では、SigV4 認証情報がないものを含め、誰でもアプリケーションモニターにデータを書き込むことができます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*" } ] }
aws:SourceIp 条件キーを使用して、指定された送信元 IP アドレスをブロックするようにポリシーを変更できます。この例では、このポリシーを使用すると、リストされている IP アドレスの PutRumEvents は拒否されます。他の IP アドレスからの他のすべてのリクエストは受け入れられます。この条件キーの詳細については、IAM ユーザーガイドの「ネットワークのプロパティ」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*" }, { "Effect": "Deny", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*", "Condition": { "NotIpAddress": { "aws:SourceIp": "************" } } } ] }
さらに、rum:alias サービスコンテキストキーを使用して特定のエイリアスで署名された PutRumEvents リクエストのみを受け入れるように選択することもできます。次の例では、PutRumEvents はイベントを受け入れるには、オプションの Alias リクエストパラメータを alias1または alias2 に設定する必要があります。Alias を送信するようにウェブクライアントを設定するには、GitHub の「アプリケーション固有の設定
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rum:PutRumEvents", "Resource": "arn:aws:rum:region:accountID:appmonitor/app monitor name", "Principal" : "*", "Condition": { "StringEquals": { "rum:alias": [ "alias1", "alias2"] } } } ] }
